MADRID, 9 Ago. (Portaltic/EP) -
Check Point ha alertat sobre el programari maliciós conegut com OSX/Dok, que afecta usuaris de Mac residents a Europa. OSX/Dok aconsegueix fer-se amb el control del trànsit web i roba credencials bancàries.
Segons ha explicat la multinacional de ciberseguretat, OSX/Dok és una variant del troià bancari Retefe, que ja porta diversos anys atacant Windows.
OSX/Dok es distribueix a través d'una campanya de pesca. Això no seria sorprenent, de no ser perquè es dirigeix de manera específica a usuaris de macOS que, en general, creuen falsament que el seu equip està a prova de ciberamenaces.
La víctima rep un correu electrònic amb un arxiu zip adjunt, que instal·la el maliciós i fa que el sistema operatiu desactivi les actualitzacions de seguretat de l'ordinador. Després, llança un atac d'intermediari, intercepció, permetent un ple accés a totes les comunicacions de la víctima, fins i tot encara que estigui utilitzant un xifrat SSL.
A més, com apunten des de la companyia de ciberseguretat, els autors del maliciós utilitzen certificats legítims de desenvolupador d'Apple per fer més difícil la detecció.
Aquest maliciós geolocalitza l'adreça IP de la víctima i, segons el país europeu on estigui, redirigeix el seu trànsit utilitzant un proxy. Cada vegada que l'usuari intenta entrar al portal d'una entitat bancària, l'envia a una pàgina falsa que li demana les seves claus d'identificació. Aquesta web fraudulenta pot sol·licitar instal·lar una aplicació mòbil a través d'un codi QR o un SMS per motius de seguretat.
Actualment, com detallen des de Check Point, el missatge de text descarrega l'aplicació de missatgeria Signal, encara que en qualsevol moment els ciberdelinqüents poden modificar l'enllaç per inserir maliciós a l''smartphone' de l'afectat.
Després de publicar l'informe anterior sobre OSX/Dok es va poder comprovar que les similituds entre OSX/Dok i Retefe, que és un troià bancari que es coneix des de fa alguns anys, principalment actiu en plataformes Windows, concloïen que, de fet, OSX/Dok és el mateix programari maliciós "portat" des de Windows, com expliquen des de la companyia.
